IT資産管理や名刺管理サービス、システム開発などを手がけるSKYは、同社製品の情報セキュリティー上の脆弱性に関する情報を報告したユーザーに報奨金を支払う「SKY脆弱性報奨金制度」を開始した。報奨金は最大で200万円になる。
脆弱性報奨金制度(Bug bounty program)は、自社製品やサービスの安全性向上を目的として海外の大手IT企業などがすでに実施しているが、SKYでも、「検知難易度の高い潜在的なセキュリティリスクをいち早く発見できる」手段として「SKY脆弱性報奨金制度」を設立し、ユーザーからの協力を求めることにした。この制度の設計からリリースまでは、SOC支援やCSIRT支援を行う川口設計の協力で行われた。
応募された情報は、受け付け順に審査され、認定が行われた後に公開される。報奨金は、緊急性、重要性などに基づき定められたベース金額に、共通脆弱性評価システム「CVSS」の値が乗算され、さらに、RCEか否か、脆弱性種別に応じて金額が加算される。最大で、脆弱性1件につき200万円となる。
この他、応募に関する条件、対象製品、情報の取り扱いなど、制度に関する詳細は、「Sky脆弱性報奨金制度規約」「Sky脆弱性報奨金制度ルールブック」をご覧いただきたい。